Passar pela situação de um vazamento de dados é uma das situações mais inconvenientes e perigosas à credibilidade de qualquer empresa. Esse tipo de situação deixa o sistema da empresa e os usuários vulneráveis a diversos golpes. Porém, é algo que acontece com mais frequência do que imaginamos, sendo necessário então que toda empresa saiba o que fazer neste caso.
Existe todo um protocolo que deve ser seguido pela empresa vitimada por esse tipo de invasão nos seus sistemas. E se esse protocolo não for seguido corretamente, poderá resultar em sanções severas por descumprimento da Lei Geral de Proteção de Dados.
Muitas empresas metem os pés pelas mãos quando precisam lidar com uma situação dessas, ao tentar, muitas vezes, encobrir o incidente na tentativa de que ele passe despercebido.
Mas escândalos como o da Amazon mostram que as leis que regulamentam o cenário de privacidade e proteção de dados pessoais, definitivamente, não estão para brincadeira.
Mas afinal, onde as empresas costumam errar nesse tipo de situação?
É importante que as empresas saibam como proceder, assim como é importante que saibam o que não deve ser feito, de forma a minimizar os prejuízos.
Para auxiliar nisso, vamos listar os maiores erros que as empresas cometem quando têm seus sistemas invadidos e seus dados pessoais expostos.
- Não fornecer um treinamento adequado aos seus colaboradores de forma que se possua uma maior sincronia entre a equipe e seus líderes, inibindo ações que visem ocultar o incidente;
- Não realizam a alteração das senhas, que seria a ação adequada à contenção do vazamento;
- Não mensuram o impacto do incidente de forma adequada: em casos de vazamento de dados, o correto é que a empresa paralise os sistemas afetados, sem no entanto desligá-lo – sob o risco de que se percam os registros do corrido -, entenda onde e quando o incidente se deu e entenda, principalmente quais dados foram comprometidos.
- Não informam todos os setores da empresa e nem os usuários afetados com receio de que isso resulte em maiores problemas;
- Evitam fazer comunicados públicos até serem descobertos.
O procedimento correto em casos de vazamento de dados envolve a comunicação do incidente ao DPO da empresa, à ANPD e aos titulares dos dados pessoais envolvidos.
Além disso, esse comunicado deve ser feito, preferencialmente, em dois dias úteis da descoberta do incidente.
Importante ressaltar que a ANPD disponibiliza em seu site detalhes sobre as informações que devem ser enviadas, como contato da empresa responsável pelo tratamento e do DPO, além de exigir no formulário online informações como data e hora do ocorrido, as circunstâncias do incidente, descrição dos dados pessoais como sua natureza, categoria e quantos dados foram vazados, todas as possíveis consequências e principalmente, as medidas que serão tomadas na resolução da questão.
A LGPD impõe sanções para as irregularidades que vão de advertência, multa de até 2% do faturamento da empresa limitada, no total, a R$ 50 milhões por infração, publicização da infração, bloqueio dos dados pessoais a que se refere a infração até a sua regularização, eliminação dos dados pessoais relacionados à infração ou até mesmo suspensão parcial do funcionamento do banco de dados relacionado à infração.
